チェーンビルダーのセキュリティアーキテクチャ

クラウドアプリケーションとオンプレミスアプリケーションを統合および自動化するため、チェーンはAmazon® Web Services（AWS）セキュリティとiPaaSアーキテクチャを活用することにより、包括的なエンタープライズアーキテクチャ規格と厳格なITセキュリティポリシーに準拠します。チェーンビルダーdevice_hubのアーキテクチャの各レイヤーは、クライアントデータを保護し、次の内容を実施します。

• インターフェースとなる機密システムへのアクセス制御を提供
• 現代のアーキテクチャ要件に対応
• SOC1およびSOC2に準拠
• 多くの場合、クラウド認定の要件を超える内容

リファレンスアーキテクチャ

Web およびモバイル対応デバイスを介してHTTPS (TLS 1.3 以上) プロトコルでチェーンを安全に構築します。ホストサービス内で実行されているのは主要なアプリケーションであるAdvanced Encryption Standard（AES）対応のデータベースです。このデータベースには、リモートのCloudRunnerおよびGroundRunnerの２つのサービスエージェント間での通信とタスク実行を管理するためのメタデータとキューが安全に格納されています。

要約すると、チェーンビルダーのアーキテクチャには次のものが含まれます。

• 統合を実行および管理するための、ブラウザベースの安全なユーザーインターフェース。
• アマゾンウェブサービス（AWS）でホストされている中央マルチテナントサービス
• クラウドおよびオンプレミスのアプリケーションとインターフェースするためのリモートのCloudRunnerおよびGroundRunner実行エージェント

GroundRunnersとCloudRunners

GroundRunnersと呼ばれる実行エージェントはオンプレミスでホストされ、クライアントネットワークの内部および外部の両方のアプリケーションとインターフェースします。 GroundRunnersについての詳細は以下となります。

• リソースのフットプリントが軽い。
• 物理的およびバーチャルのコンピューティングリソースで、MicrosoftWindows®、Linux®、macOS®、およびOracleSolaris®オペレーティングシステムをサポートします。
• 単純なオペレーティングシステムコマンドの実行から、データの読み込みや取得などのネイティブアプリケーション操作まで、必要とされる自動化および統合タスクをすべて実行します。

オンプレミスシステムにアクセスするには、ホストサービスにアクセスできるオペレーティング環境でGroundRunnerをホストする必要があります。

オンプレミスシステムへのアクセスが不要な場合、WorkivaがホストするデフォルトのCloudRunnerが統合タスクを実行します。

GroundRunnerは定期的に新しいアップグレードをチェックします。 GroundRunnerがアップグレードを検出すると、厳格なセキュアトランスポート層を使用して新しいバイナリが自動的にダウンロードされます。または、バイナリを手動でダウンロードしてデプロイすることもできます。中間者攻撃を防ぐために、新しいバイナリが署名され、暗号化されます。

ネットワークセキュリティ

チェーンビルダーはAWSでホストされ、そのネットワークは仮想プライベートクラウド（VPC）内で動作します。この仮想ファイアウォールにより、Workivaはチェーンビルダーとの間のトラフィックを制御できます。より詳細なレベルでは、チェーンビルダーのサービスは、VPCのパブリックサブネットとプライベートサブネット、またはIPアドレスの分離されたブロック内でホストされます。 VPCはDMZとして機能します。これにより、次のようになります。

• パブリックサブネットには、単一のポート（443）でHTTPSリクエストを介してパブリックインターネット経由で直接アクセスされるサービスが含まれています。
• プライベートサブネットは、パブリックトラフィックを防止し、VPC 内のサービスによってのみアクセスされる内部サービスをホストします。

データ転送のセキュリティ

システム間のデータ転送の完全なセキュリティを確保するために、チェーンビルダーとの間で送受信されるすべてのトラフィックは、2048ビットの証明書を使用してTLS 1.3プロトコルで暗号化されます。さらに、内部アプリケーション間の通信は暗号化され、すべての送信が正当な送信元から送信されるようにします。

GroundRunnerとCloudRunnerは、データの直接交換をサポートしています。これにより、エージェントは、JSON Webトークン（JWT）に加えて、同じTLS 1.3プロトコルを使用して通信チャネルを介してファイルをダウンロードし、交換することができます。各GroundRunnerは、エージェントからエージェントへの直接データ交換をサポートしており、このオプションを有効または無効にし、リスニングポート (デフォルトでは 8821) を制御するように構成可能です。

安全なチャネルを作成するために、GroundRunnersは各企業のIT部署が指示する企業プロキシサーバーと連携してホストサービスと通信します。

データベース層のセキュリティ

データベースサーバーはプライベートサブネット内でホストされます。これらのデータベースには、パブリックインターネットから直接アクセスすることはできません。VPC内のサービスだけがデータベースに接続できます。データベースへの接続はすべてパスワードで保護されており、必要なポートのみにアクセスが可能です。データ損失を防ぐため、データベースは冗長性が高く、複数のデータセンターに分散しています。

データベースは毎日バックアップされます。これらのスナップショットは、安全な冗長性のレイヤーが確保するために、AES-256 の暗号化レベルで複数のアベイラビリティーゾーンにまたがって Amazon Simple Storage Service（S3）に保存されます。

データとメタデータの管理

データに関する情報を記述および提供するために、ホストサービスはこのメタデータをAES-256の暗号化レベルで保存します。

• メタデータを設計：ワークスペース、チェーン、タスクの構成など。
• 監査メタデータ：ワークスペース、チェーン、ファイルリソース、スケジュールなど、コンポネントの変更履歴など。
• 実行時メタデータ：チェーンやタスクの実行履歴、サーバー、CloudRunner、GroundRunnersによって生成されたログなど。

CloudRunnerとGroundRunnersは、すべてのデータ伝送とインターフェースを以下に直接実行します。

• Workivaプラットフォーム
• Anaplan®、Salesforce®、Oracle®EPM Cloud、Tableau®などのクラウドアプリケーション
• ネイティブAPIを介したOracle® HyperionやSQL Server®などのオンプレミスアプリケーション

チェーンには、出力と呼ばれる一時的なステージングフラットファイルを作成するタスクを含めることができます。

• CloudRunnerが出力を生成する場合、それはAWSエラスティックファイルシステム（EFS）ボリュームにAES-256の暗号化レベルで保存されます。
• GroundRunnerが出力を生成する場合、暗号化レベルを決定するホストのファイルシステムに一時的に保存されます。

ワークフローの添付ファイルは一時的なものであり、ワークフローが完了すると削除されます。ワークフローに関連付けられたファイルを保持する場合は、オンプレミスのファイルシステムまたはGoogle®ドライブやBOX®などのクラウドドライブに保存して下さい。

ワークスペースやコネクタ用にアップロードされたリソースなどの機密ファイルは、HashiCorp Vault Transit の暗号化技術により暗号化され、Amazon Simple Storage Service（S3）に暗号化された状態で保存されます。コネクタプロパティとして入力された認証資格情報などの機密性の高いテキストフィールドは、暗号化された HashiCorpVault Secretsとして AmazonDynamoDB® に保存されます。マスターキーを保存する際には、Vault Transit と Vault Secrets/ KV Store の両方ともが使用 awskms シールを使用します。